La paradoja de gestionar el proceso de innovar

martes, 31 de julio de 2018


La paradoja de gestionar el proceso de innovar imagen
ElevenPaths se basa en la innovación y esto se manifiesta en todos nuestros flujos y procesos de trabajo. Lejos de entrar en detalle para explicar qué es o en qué consiste la innovación, de los que todos tenemos una concepción aproximada, deberíamos pararnos a pensar si la innovación es un concepto que pueda ser controlable o gestionable. Es decir, si existen unos mecanismos y procesos adecuados para encauzar esos flujos de creación y descubrimiento que deben conducir al diseño de nuevas tecnologías o productos con un valor diferencial sobre el ecosistema existente. Y todo esto, en consonancia con las pautas y axiomas del método científico y el proceso de investigación que forma parte integral de la innovación.

La lucha de Windows contra la ejecución de código: Éxitos y fracasos (II)

lunes, 30 de julio de 2018

Es complicado entender todo el entramado de seguridad que está montando Microsoft alrededor de Windows 10, con medidas de seguridad cada vez más integradas y complejas. Es muy positivo, sino fuera porque algunas medidas están adquiriendo una complejidad tal que para el usuario medio (poco instruido en seguridad) le resultan poco menos que esotéricas, incompresibles y por tanto, inútiles si no están activadas por defecto (que muchas no lo están). Hablamos en la anterior entrega de Windows Defender Exploit Guard englobada dentro de lo que Microsoft llama Windows Defender. Veamos concretamente en estas entradas, qué técnicas a bajo nivel utiliza.

Guía AEPD para la gestión y notificación de brechas, pero, ¿cómo detectarlas? – Parte 2

viernes, 27 de julio de 2018

gdpr mdr image

En el anterior artículo comentamos la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos (AEPD), y la importancia de evaluar y concretar las medidas de detección. Veamos ahora, conforme al Reglamento General de Protección de Datos (RGPD), que implica dotarse de herramientas y capacidades “punteras” para detectar brechas de seguridad, y, en definitiva, ser más ciber-resilientes.

Guía AEPD para la gestión y notificación de brechas, pero, ¿cómo detectarlas? – Parte 1

miércoles, 25 de julio de 2018

GDPR image

¿Confundido sobre qué medidas debes adoptar para detectar y notificar brechas de seguridad de tu organización y cumplir con el Reglamento General de Protección de Datos (RGPD)? El pasado 19 de junio la Agencia Española de Protección de Datos (AEPD) presentó la Guía para la gestión y notificación de brechas de seguridad junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE, con el objetivo de facilitar la interpretación del RGPD en lo relativo a la obligación de notificar las brechas de seguridad, ofrecer recomendaciones sobre la gestión, tratamiento y resolución de este tipo de incidentes, así como las medidas para su prevención, y ofrecer un plan de actuación para las organizaciones de cualquier tamaño que puedan estar afectados por brechas de seguridad de los datos. 

ElevenPaths y Gradiant cooperan en la verificación biométrica de usuarios en el dominio cifrado

martes, 24 de julio de 2018

ElevenPaths y Gradiant cooperan en la verificación biométrica de usuarios en el dominio cifrado imagen

ElevenPaths y Gradiant continúan a paso firme su proceso de cooperación en el ámbito de las tecnologías de la información a través de la unidad mixta IRMAS (Information Rights Management Advanced Systems) donde se gestan diferentes oportunidades de investigación y desarrollo en varios frentes de innovación. En este marco, el centro TEGRA que presentamos recientemente realiza un papel especializado en actividades de fomento de la seguridad de la información, destinando sus esfuerzos en la búsqueda de mejoras en el campo de la ciberseguridad con un valor diferenciador y una base científico-técnica de excelencia. Fruto de esta coalición ha surgido una tecnología para la verificación biométrica de usuarios en el dominio cifrado mediante técnicas de SPED-firma.

La lucha de Windows contra la ejecución de código: Éxitos y fracasos (I)

lunes, 23 de julio de 2018

Es complicado entender todo el entramado de seguridad que está montando Microsoft alrededor de Windows 10, con medidas de seguridad cada vez más integradas y complejas. Es muy positivo, sino fuera porque algunas medidas están adquiriendo una complejidad tal que para el usuario medio (poco instruido en seguridad) le resultan poco menos que esotéricas, incomprensibles y por tanto, inútiles si no están activadas por defecto (que muchas no lo están). Nos encontramos así con que buena parte de la cuota de mercado (usuarios "medios") a los que va destinado el propio sistema operativo, no va a comprender o saber aprovechar estas ventajas. Si nos centramos en perfiles más profesionales (administradores de directorio activo y entornos corporativos), el problema es que… probablemente los administradores tampoco tengan tiempo de configurar correctamente el sistema o resulte excesivamente intrusivo (y tampoco tienen tiempo para pruebas de ensayo y error en producción). En este sentido, cabe plantearse incluso si de verdad (hoy por hoy) Windows 10 es la versión predominante en sistemas de escritorio de empresas y este perfil podría aprovechar estas técnicas. Pero veamos cuáles son estas técnicas actuales.

Detección y respuesta basadas en Ciberinteligencia. Parte 2: Juntando todas las piezas

viernes, 20 de julio de 2018

Una vez contamos con la visibilidad que aporta un Endpoint Detection & Response (EDR) y el conocimiento que proporciona la adopción de la inteligencia de amenazas, ya disponemos de los dos principales pilares para comenzar nuestro viaje hacia una organización ciber-resiliente.

En la actualidad, la mayor parte de las compañías se encuentran en un nivel de madurez de seguridad básica. Cuentan con un SIEM como eje principal donde se almacenan ciertos  y se generan alertas a partir de correlación de reglas, pero careciendo aún de toda la telemetría necesaria, así como de las herramientas e inteligencia necesaria para una detección efectiva de ataques sofisticados.

¿Cómo saltar al siguiente nivel? Combinando la telemetría completa ofrecida por un EDR, junto con la información de inteligencia de amenazas e indicadores de compromiso. De esta forma podemos dar el siguiente paso: mejorar la visibilidad sobre la actividad de los atacantes en los endpoints, mejores capacidades de detección en el SIEM -gracias al empleo de IoCs-, y más eficiente labor de triaje e investigación de incidentes sobre las alertas del SIEM a partir de la aplicación de contexto y enriquecimiento que aporta la inteligencia de amenazas.

Cómo combatir las principales amenazas digitales de la mano de ElevenPaths

jueves, 19 de julio de 2018

Varias son las amenazas de ciberseguridad que afrontan a diario tanto organizaciones como particulares. Entre todas estas amenazas caben destacar dos que pueden comprometer la seguridad de nuestros equipos: las vulnerabilidades y el malware. De ello somos muy conscientes en ElevenPaths, la unidad de ciberseguridad de Telefónica, y para ello todos los equipos de la compañía trabajan duro en el diseño y desarrollo de soluciones y productos que puedan ayudar a todo tipo de organizaciones y personas a combatirlas.

Faast herramienta detección malware logo
En el ámbito de las vulnerabilidades son muchas las iniciativas en las que sestamos trabajando desde hace tiempo, como pueden ser Faast () o VAMPS. Todo ello, con la idea de que las organizaciones conozcan las vulnerabilidades que les pueden afectar a diario. Para ello, se ha trabajado en la posibilidad de disponer un pentest automático y persistente sobre los activos de las empresas.

Qué hemos presentado en Security Day 2018 (V): Emprendemos, ecosistema de innovación

miércoles, 18 de julio de 2018

SD2018 Innovación y emprendimiento imagen

La innovación debe ser uno de los motores de generación de tecnologías de ciberseguridad más 
destacados en una marca como ElevenPaths, y además debe establecer el espacio de trabajo idóneo para intercambiar ideas, exponer requisitos y localizar casos de uso y aplicaciones entre las áreas de una compañía tan disruptiva. Y atendiendo a este reclamo, en el pasado Security Day el área de innovación tuvo su espacio para mostrar los resultados y realidades llevados a cabo por el equipo de Sergio de los Santos, director del área del laboratorio e innovación en ciberseguridad, acompañado en el escenario de Rames Sarwat, máximo responsable del programa de partners y alianzas, y también Eva Suárez, ingeniera de software en ElevenPaths.

CryptoClipWatcher: Nuestra nueva herramienta contra las técnicas de "crypto clipboard hijacking"

martes, 17 de julio de 2018

Desde 2017, esta técnica se ha vuelto bastante popular. Las criptomonedas en general son un objetivo para el malware y minar Bitcoins ya no es tan lucrativo en ordenadores “normales” (quizás Monero sí). Pero, apuntar al portapapeles para robar criptomonedas es una nueva, sencilla e interesante fórmula que los creadores de malware están comenzando a explotar. Hemos creado una sencilla herramienta que vigila el clipboard para alertar al usuario si la dirección de la criptomoneda de destino es modificada.

CryptoClickWatcher herramienta ciberseguridad

Liberamos iBombShell 0.0.1b en el repositorio de Github de ElevenPaths

lunes, 16 de julio de 2018

Esta entrada va dedicada a la herramienta iBombShell, también apodada como Dynamic Remote Shell. Esta nueva tool del departamento de Ideas Locas del área de Chief Data Office (CDO) en colaboración con el laboratorio de Innovación de ElevenPaths nació con el objetivo de proporcionar una shell de post-explotación en un pentest en cualquier lugar. En el blog de nuestro Chairman Chema Alonso se ha hablado sobre la herramienta: macOS & Windows – Pentesting it with iBombShell y cómo de fácil es crear un módulo en iBombShell.

La idea original surge de la necesidad de disponer de una shell de post-explotación escrita en Powershell y que pueda estar en cualquier equipo, gracias a que es descargada desde el repositorio de Github dinámicamente. Pero esto no es todo, descarga cualquier funcionalidad necesaria desde el propio repositorio de ElevenPaths o de cualquier repositorio que marquemos externo.

Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos

viernes, 13 de julio de 2018

Detección y respuesta basadas ciberseguridad imagen

Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”.

ElevenPaths adquiere Dinoflux para reforzar las capacidades de detección y respuesta ante incidentes

jueves, 12 de julio de 2018

En el último Security Day, celebrado el pasado 30 de mayo, ElevenPaths anunció la adquisición de una nueva start-up del sector: Dinoflux. El “dino” es una herramienta de ciberseguridad que genera inteligencia para combatir las diferentes amenazas de malware actuales.

Hoy día nos encontramos con el ambicioso reto de reforzar los dispositivos de seguridad de nuestras infraestructuras. Mantener actualizados los IDS, IPS, firewalls, SIEM, endpoints, etc., es un objetivo primordial para que las alertas contengan la información necesaria para responder antes las amenazas de manera rápida y eficaz.

Ejemplo de búsqueda de una amenaza catalogada como ransomware.
Figura 1. Ejemplo de búsqueda de una amenaza catalogada como ransomware.

Qué hemos presentado en Security Day 2018 (IV): alianzas y partners, Mobile Connect ahora en ClearPass

miércoles, 11 de julio de 2018

Mobile Connect ahora en ClearPass imagen

Durante el pasado Security Day, celebrado el 30 de mayo, nuestro Strategic Alliances & Partnerships Manager de ElevenPaths, Pablo Alarcón, presentó a Lluis Martínez Pons, Hewlett-Packard Enterprise (HPE) VP y GAM de Telefónica, que mostró la integración de su solución ClearPass de control de accesos a redes de área local wifi y cableadas, con MobileConnect, la solución de ElevenPaths de identidad y autenticación de usuarios.

#CyberSecurityPulse: Triste aportación en Estados Unidos de la empresa privada a la compartición de inteligencia de amenazas

martes, 10 de julio de 2018

social networks image Después de un poco más de dos años de que el Congreso aprobara un importante proyecto de ley que incentivaba a las empresas a compartir con el gobierno cómo y cuándo threat actors están tratando de introducirse en sus sistemas, sólo seis empresas y otras entidades no federales han compartido esa información, según las cifras proporcionadas al medio de comunicación Nextgov. Cifras muy pobres en comparación con las 190 entidades y los 60 departamentos y agencias federales que están recibiendo datos sobre amenazas del programa de intercambio automatizado de indicadores de Seguridad Nacional. Esa baja cifra de participación del sector privado es un golpe adicional al programa, que ha luchado por proporcionar a las empresas y organismos gubernamentales el tipo de inteligencia procesable que prometió la Ley de Ciberseguridad de 2015.

Innovación y Laboratorio de ElevenPaths en DEF CON 26 en Las Vegas

lunes, 9 de julio de 2018

La conferencia DEF CON 26 (correspondiente a 2018), celebra su edición más importante en agosto en Las Vegas, como viene siendo habitual. Se trata de una de las más importantes del mundo en seguridad informática, con un estilo más marcadamente hacker e irreverente que la Black Hat. En esta edición, el área de innovación y laboratorio de ElevenPaths presentará una investigación.

Logo defcon 2018 imagen

Eventos y conferencias del mes de julio en los que participamos

sábado, 7 de julio de 2018

Eventos y conferencias del mes de julio en los que participamos imagen

Ya ha llegado el verano, ¡pero nuestra actividad continúa! Si aún no estas de vacaciones o lo estás pero quieres seguir al día en la actualidad sobre la seguridad informática, te traemos el listado completo de los eventos en los que participamos. ¡Saca la agenda y que no se te escape ninguno hacker!

WordPress in Paranoid Mode disponible en Docker en nuestro repositorio de Github

viernes, 6 de julio de 2018

Hace un par de años mostramos una idea de cómo se podía fortificar la base de datos y el uso diario de WordPress. Mostramos un par de papers con una serie de ideas que harían mejorar la seguridad de tu entorno WordPress y MySQL. Hoy hablamos de la liberación en nuestro repositorio de Github de un docker para disponer de WordPress con el plugin de Latch instalado y el WPM para la base de datos listo para ser aplicado.

Antes de continuar, os dejamos los papers de los que consta este trabajo. Queremos seguir evolucionando el docker para que incluya todas las ideas que tuvimos en el departamento de Ideas Locas de CDO (Chief Data Office):



Bug bounty, ¿solo una moda o ha llegado para quedarse?

jueves, 5 de julio de 2018

El bug bounty esta más presente de lo que pensamos y, poco a poco, se va a ir haciendo más popular, sobre todo si trabajas en Seguridad Informática. De hecho, lo hemos mencionado previamente en la newsletter quincenal CyberSecurity Pulse y en algún post como este.

Nuestra pregunta es bien sencilla, ¿qué es el bug bounty? Para poder definir este concepto, vamos a partir de la explicación de algunos otros conceptos o definiciones básicas.

Un bróker (del inglés broker) es un individuo o institución (agente de bolsa) que organiza las transacciones entre un comprador y un vendedor para ganar una comisión cuando se ejecute la operación. Hay muchos tipos de brokers: de seguros, tecnología, etc. y en el caso de bug bounty, podemos decir que utilizamos el mismo concepto, es un intermediador entre proveedores (en este caso Hackers) y clientes (las empresas).

Innovación en ElevenPaths: Universidad y empresa "on track"

martes, 3 de julio de 2018

Desde el 13 al 15 de junio se realizaron las IV Jornadas Nacionales de Investigación en Ciberseguridad en San Sebastián. Este evento, convertido en uno de los principales foros de la comunidad académica en materia de ciberseguridad, reunió al grueso de investigadores y equipos científicos con actividad en este campo. ElevenPaths no faltó a la cita para cubrir la segunda edición del Track de Transferencia, uniendo el mundo académico con el industrial y apostando por una mayor cercanía con el mundo científico.


track de transferencia logo

Acudimos a este evento adoptando diferentes roles. Por un lado, presentamos una de nuestras investigaciones, y por otro, con nuestro compromiso de renovar nuestra participación en el Track de Transferencia, que recordemos es una iniciativa de INCIBE que arrancó el año pasado y que busca la cooperación entre academia e industria, proporcionando un marco de trabajo que permita un acercamiento y transferencia del conocimiento empresa-universidad a través de retos de investigación. La idea es sencilla, proponer ideas surgidas de necesidades de ElevenPaths en forma de retos, y colaborar durante un año con grupos o equipos de investigación que estuviesen dispuestos a aportar su propia solución, con una comunicación fluida y más cercana. 

Perdidos entre bloques: Quorum

lunes, 2 de julio de 2018

Cada una de las cadenas de bloques se rige por las reglas que han definido previamente sus desarrolladores. Las cadenas de bloques públicas tienen numerosos beneficios. Sin embargo, el hecho de no poder marcar las reglas del juego puede convertirse en un problema a futuro. Es por ello que a lo largo de estos últimos años hemos presenciado un boom de las cadenas de bloques privadas.

Vitalik Buterin, co-fundador de Ethereum, analizaba estos conceptos hace un par de años cuando se comenzaba a hablar de los diferentes tipos de cadenas existentes. Él diferenciaba entre cadenas de bloques consorcio y cadenas de bloques completamente privadas. Según él, el consenso de las cadenas de bloques consorcio es alcanzado por un consorcio de instituciones pudiendo llegar a considerarse descentralizadas. Por otro lado, las cadenas de bloques completamente privadas son aquellas que mantienen los permisos de escritura en una sola organización.

Quorum pedidos entre bloques imagen
Figura 1. ¿Cómo elegir entre una cadena de bloques pública o privada?